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Lampi di Cassandra/ SPID o non SPID? 


(382) — “Essere o non essere digitali” è il grande quesito al quale noi italiani 
dobbiamo rispondere. Il rischio di furti di identità c’è ma fino a quando SPID 
non sarà realmente sicuro è meglio attendere. 


Oggi l’amletico dubbio contenuto nel titolo, particolarmente evidente per i let- 
tori che già conoscono le precedenti esternazioni di Cassandra in tema (questa 
e quest'altra), sarà sciolto razionalmente senza ricorrere alla divinazione, non 
dubitate. 


Riassunto delle puntate precedenti: a parere di Cassandra solo la SPID di 
livello 2 con token OLTP o la SPID di livello 3 con token crittografico 
possono essere considerate affidabili. 


Visto che a tutt’oggi nessuno ancora le fornisce, non bisogna (almeno per ora) 
usare o richiedere la SPID perché troppo insicura dal punto di vista informatico: 
rappresenta un rischio elevato (una grande superfice di attacco) alla propria 
“identità digitale” intesa in senso esteso. 


Sul Fatto Quotidiano online è stato pubblicato di recente un video molto ben 
realizzato, che spiega come utilizzare mezzi illegali ma semplici, anzi banali, per 
ottenere l’identità digitale di un altra persona. bene ripeterlo: per ottenere 
l’identità digitale di un’altra persona. Il video in questione, oltre che 
agghiacciante, è pure divertente, e Cassandra ne consiglia fortemente la visione 
prima di proseguire. 


Riassunto del video: Il giornalista si è procurato i dati personali pubblici di una 
persona, ha rozzamente e velocemente falsificato due documenti di identità, e li 
ha usati per ottenere la SPID, ingannando l’operatore del fornitore di SPID che 
li esamina e li autentica utilizzando la webcam del portatile.Bene, sorvoliamo 
sul fatto che durante la realizzazione del video, così ad occhio (Cassandra fa 
la profetessa e talvolta l’ingegnere, non l’avvocato), sono stati compiuti almeno 
tre reati tutt’altro che lievi. Tralasciando come detto queste “pinzillacchere”, 
citando il grande Totò, analizziamo direttamente la “procedura” seguita. 


Quello che è stato violato non è il meccanismo informatico della SPID 
in quanto tale, ma uno degli svariati metodi per ottenerla da un 
fornitore certificato (attualmente ce ne sono 4), metodi che sono in parte 
lasciati all’arbitrio del singolo fornitore di SPID. 


Il nocciolo del problema è che se falsificare documenti di identità che debbano 
essere “utilizzati” nella maniera tradizionale è operazione molto difficile, falsifi- 


carli per usarli davanti a una webcam è ridicolmente facile. Non è un caso che 
per facilitare la diffusione della SPID, tra le varie modalità di rilascio siano pre- 
viste non solo la tradizionale visita di un apposito ufficio o l’utilizzo di una firma 
digitale (equivalente all’ancora inesistente SPID livello 3), ma anche modalità 
online molto semplici e “amichevoli” (ma certo non sicure) come la webcam. E 
non è nemmeno un caso che di solito le operazioni tradizionali e scomode siano 
gratuite mentre quelle online, semplici e comode, siano a pagamento. Non di- 
mentichiamo che i fornitori di SPID sono aziende, e che come qualsiasi azienda 
devono, dopo essersi certificate e operando in base a regole tecniche precise, 
generare profitto.Ma basta ripetere concetti già noti, che rischiano di diventare 
noiosi. Se avete preso in considerazione la possibilità di aggiungere la SPID 
alle altre identità digitali di cui siete probabilmente già in possesso (Tessera 
Sanitaria, Carta di Identità Elettronica, Carta Nazionale dei Servizi, Firma 
Digitale) e non lo avete fatto perché negativamente influenzati da Cassandra, 
adesso dovreste porvi un quesito e trovare la relativa risposta: “Io la SPID non 
la vorrei avere, ma visto che è possibile che altri la ottengano fraudolentemente 
al mio posto, forse è meglio che la chieda prima io e poi magari non la uti- 
lizzi, tanto è anche gratis.’ Domanda sensatissima, tanto più che avendo la SPID 
potreste chiedere in ogni momento l’elenco degli accessi effettuati e accorgervi 
se qualcuno la sta usando al vostro posto. 


Come aiuto per trovare una risposta, e anche per rendersi conto di quanto 
siano complesse le problematiche da affrontare, Cassandra consiglia la lettura 
della pagina FAQ nel sito dell’ Agenzia per l’Italia Digitale. Basta consultarla e 
magari scartabellare anche un po’ tra gli altri regolamenti della SPID, per darsi 
la risposta. La risposta è “No”. 


La SPID appartiene infatti a quella classe di identità digitali che possono essere 
multiple; insomma voi (e in maniera truffaldina altri) potete ottenerne più di 
una. Non potete ottenere due carte di identità digitali, come non potete chiedere 
due tessere sanitarie, ma dovete denunciare la perdita, furto o distruzione della 
prima e farvene rilasciare una seconda. invece possibile, ragionevole e in certi 
casi necessario avere più di una firma digitale, come succede da sempre anche 
per la firma autografa, ad esempio l’amministratore di un’azienda che firma in 
un modo per gli atti aziendali e in modo diverso per quelli personali.E poiché il 
fatto di aver richiesto la SPID non impedisce che altri ne chiedano una seconda, 
utilizzando metodi fantasiosi come quello illustrato sopra, potete continuare 
tranquillamente (mica tanto) a farne a meno.Potete quindi continuare paziente- 
mente ad attendere una SPID di livello 2 con token OLTP o di livello 3, sicure e 
rilasciate con metodi altrettanto affidabili, almeno fino a quando avere la SPID 
non diverrà obbligatorio. 


Obbligatorio?!? Cassandra non vuole azzardare oggi altre profezie di sventura, 
ma solo far notare che, almeno a sentire i media, lo è già adesso in casi particolari, 
ad esempio per ottenere il “Bonus 18 anni” di 500 euro, che può essere richiesto 
solo ottenendo prima la SPID. 


L’amletico dubbio se “Essere o non essere digitali” insomma, ha in questo caso 


una facile risposta. 
Marco Calamari 
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